LINUX.ORG.RU
ФорумAdmin

Похоже ли это на взлом ???


0

0

Похоже ли это на взлом ??? (вырезка из /var/log/messages)
System: SuSE 9.0 Professional, kernel 2.4.21-144

Проблема в том, что уходя 6-го января вечером, X-Server остался включённым. Ночью за машиной никого не было. Наутро прихожу - монитор в режиме ожидания. Проверил X-ы: нету. Судя по Uptime-у перезагрузки не было.
А в /var/log/messages вижу такие строки.

Jan 7 04:15:36 pacak kdm[2095]: Unknown session exit code 0 (sig 1) from manager process
Jan 7 04:15:36 pacak kdm[2095]: Rescanning all config files
Jan 7 04:15:36 pacak kdm_config[29715]: Unrecognized key 'AdminSession' in section [X-*-Greeter] at /etc/opt/kde3/share/config/kdm/kdmrc:27
Jan 7 04:15:36 pacak kdm_config[29715]: Unrecognized key 'SessionTypes' in section [X-*-Greeter] at /etc/opt/kde3/share/config/kdm/kdmrc:50
Jan 7 04:15:36 pacak kdm_config[29715]: Unrecognized key 'AdminSession' in section [X-:*-Greeter] at /etc/opt/kde3/share/config/kdm/kdmrc:64
Jan 7 04:15:36 pacak kdm_config[29715]: Unrecognized key 'AdminSession' in section [X-:0-Greeter] at /etc/opt/kde3/share/config/kdm/kdmrc:73
ñÎ× 7 04:15:36 pacak gconfd (pacak-3267): Ð\237олÑ\203Ñ\2 07ен Ñ\201игн&# 208;°Ð» 1, ноÑ\200м&# 208;°Ð»Ñ\214но& amp;#208;µ вÑ\213клÑ\216& amp;#209;\207ени&#2 08;µ.
ñÎ× 7 04:15:37 pacak su: pam_unix2: session finished for user root, service su
ñÎ× 7 04:15:38 pacak gconfd (pacak-3267): Ð\227авеÑ\200Ñ \210аеÑ\202Ñ\201Ñ\217
ñÎ× 7 04:15:38 pacak su: pam_unix2: session finished for user root, service su
Jan 7 04:15:43 pacak kernel: bootsplash: silent jpeg found.
Jan 7 04:15:57 pacak su: (to nobody) root on none
Jan 7 04:15:57 pacak su: pam_unix2: session started for user nobody, service su
Jan 7 04:20:14 pacak su: pam_unix2: session finished for user nobody, service su


Re: Похоже ли это на взлом ???

> 04:15:37 pacak su: pam_unix2: session finished for user root, service su

очень мне это не нравиться. Хотя все может быть. Необходимо провести мероприятия по выявлению.

edwin ()

...

похоже на взлом, запусти chkrootkit, rkhunter последних релизов, проскань снаружи порты, если есть tripwire - проверить файлы, если нет - бери бинарники с дистрибутива и сверяй через diff.

На такую версию ядра уже не один эксплоит local root опубликован... Ядро в любом случае надо обновлять до последнего существующего.

x97Rang ★★★ ()
Ответ на: ... от x97Rang

Re: rkhunter

Завёл rkhunter. Проверил. Ничего подозрительного не обнаружил.

Magre ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.